OBA & Cookie
Giangiacomo Olivi – DLA Piper Italy
Digital Frontrunners: chi vincerà ?
Milano, 26 febbraio 2013
OBA?
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
2
Cookies?
 Cookies, web beacons, clear GIF…
 Autentificazioni informatiche, monitoraggio sessioni, memorizzazioni
di informazioni
 Fist Party e Third Party Cookies
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
3
Il dilemma del consenso: Opt-out o Opt-in?
"Article 5.3 was changed when the e-Privacy Directive was amended in 2009. The changes in the amended version clarify
and reinforce the need for users' informed prior consent. This is done in two ways: first, by changing the words "right to
refuse" by the need to obtain "consent", as referred to in Directive 95/46/EC and by using the verb in past tense "has been
provided".
(Art. 29 Working Party - Parere 2/2010 sulla pubblicità comportamentale online)
"A cookie that is used to build a profile of what you are doing online is less OK: it might mean that your web surfing over
time (searches, web pages visited, the content viewed, etc.) is tracked, for example in order to match ads against your
interests as determined from the profile. The use of such cookies requires your consent. Applying this in practice is
not easy."
(Dal blog ufficiale "Blog of Neelie KROES", Vice-Presidente della Commissione Europea
responsabile dell'Agenda Digitale)
"The European Union’s e-Privacy Directive (2009/136/EC) does not require websites to obtain prior consent for
cookies to be placed on users’ terminals. […] the Parliament eventually adopted Recital 66 that was intended to clarify
that use of browser settings could be considered an indication of consent […] it was therefore my particular concern as
rapporteur that the new article 5.3 and recital 66 must be read together to understand my intention. […] had the Parliament
intended [for example] the placing of all cookies on a user’s terminal to require ‘‘prior’’ and/or ‘‘explicit’’ consent, it would
have adopted such language, consistent with the other occurrences of such terms elsewhere in the text and it would not
have adopted the language of Recital 66 as it currently appears in the Directive."
(Alexander Alvaro, Deputato del Parlamento Europeo, relatore Direttiva 2009/136/EC)
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
4
Direttive UE e Cookies…
 Articolo 5.3 della Direttiva 2002/58/CE (vecchio testo e-Privacy)
"Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a
informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che
l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in
conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del
trattamento. Ciò non impedisce l'eventuale memorizzazione tecnica o l'accesso al solo fine di effettuare o facilitare la trasmissione
di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della
società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente."
 Articolo 5.3 della Direttiva 2002/58/CE (come modificata dalla Direttiva 2009/136/CE)
"Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura
terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia
espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della
direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di
effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria
al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale
servizio".
 Premessa 66 della Direttiva 2009/136/CE
"Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso
a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies»)
o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di
fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che
potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di
offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle
informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano
strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o
dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un
motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle
pertinenti disposizioni della direttiva 95/46/CE."
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
5
Il dilemma del consenso: impostazioni del
browser?
"Browser settings may only deliver consent in very limited circumstances. Notably, if browsers are set up by default to
reject all cookies (having the browser set to such an option) and the user has changed the settings to affirmatively accept
cookies, for which he has been fully informed about the name of the data controller, the processing, its goals and the data that
are collected. Therefore, the browser must either alone or in combination with other means effectively convey clear,
comprehensive and fully visible information about the processing. […] The Working Party 29 calls upon browser makers to take
urgent action and coordinate with ad network providers."
(Art. 29 Working Party - Parere 2/2010 sulla pubblicità comportamentale online)
"As most current browsers accept cookies by default and most current users lack the skills to change browser
settings, this recital refers to a scenario that is presently too often not realistic. However, this could of course change in
the future."
(Peter Hustinx, Supervisore Europeo per la Protezione dei Dati – Conferenza pubblica, Università di Edimburgo,
School of Law Edinburgh, 7 Luglio 2011)
"In the online environment – given the opacity of privacy policies – it is often more difficult for individuals to be aware of their
rights and give informed consent. This is even more complicated by the fact that, in some cases, it is not even clear what
would constitute freely given, specific and informed consent to data processing, such as in the case of behavioral
advertising, where internet browser settings are considered by some, but not by others, to deliver the user's consent."
(Comunicazione alla Commissione Europea in data 4 Novembre 2010)
"We need a user-friendly solution, possibly based on browser (or another application) settings. Obviously we want to
avoid solutions which would have a negative impact on the user experience. On that basis it would be prudent to avoid options
such as recurring pop-up windows.”
(Neelie Kroes, Vice-Presidente della Commissione Europea responsabile dell'Agenzia Digitale – Discorso/10/452 del 17
Settembre 2010)
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
6
Difficile traduzione…
Traduzione dell'Articolo 5.3 della Direttiva 2002/58/CE
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
7
Assimmetria normativa
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
(aggiornato al Luglio 2012)
8
UK: Consenso Implicito
Nel Maggio 2012, la guida sui cookies dell'ICO (Information Commissioner's
Office) ha fornito le indicazioni circa i provvedimenti da adottare:
• "il consenso implicito è una valida forma di consenso;
• "gli utenti devono essere debitamente informati che dalle loro azioni
conseguirà l'installazione di cookies;
• le aziende non devono semplicemente presupporre che gli utenti
abbiano preso visione di una "privacy policy" che è forse difficile da
trovare o da comprendere;
• in alcune circostanze, per esempio nel caso in cui le aziende raccolgano
dati sensibili quali informazioni sulla salute, il consenso esplicito sarebbe
più appropriato".
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
9
UK: Consenso Implicito
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
10
UK: Conformità con la normativa europea?
"Opt-out mechanisms do not in principle deliver data subjects' consent. Only in
very specific, individual cases, could implied consent be argued. This could be the
case when an experimented user, who is aware of the practice of behavioral advertising,
knows that he/she can opt out from it, but chooses to exercise a volitional act of not
opting-out (particularly if this is done before any cookie has been sent to the user).
However, this mechanism is not an adequate mechanism to obtain average users
informed consent. The reasons are similar to those indicated above in the context of
browser setting, namely:
 First, in general users lack the basic understanding of the collection of any data, its
uses, how the technology works and more importantly how and where to opt-out;
 Second, consent means active participation of the data subject prior to the
collection and processing of data […] under opt-out mechanism there is no active
participation; simply the will of the data subject is assumed or implied. This does
not meet the requirements for legally effective consent."
(Art. 29 Working Party - Parere 2/2010 sulla pubblicità comportamentale online)
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
11
UK: Industry Reaction
 Dalle ricerche TRUSTe risulta che il 63% dei siti più visitati in UK si è
impegnato ad attuare la normativa sui cookies. Di questi il 51% ha adottato
una notifica privacy "minima" con controllo "limitato" dei cookie, mentre il
12% ha introdotto "corpose" notifiche con controlli "forti". Solo il 37% degli
intervistati non ha adottato alcun provvedimento.
 QuBit, società di consulenza privacy londinese, ha stimato che la normativa
sui cookies potrebbe "costare" all'economia britannica £10bn.
 Secondo il PC Pro magazine, 320 siti sono stati segnalati al comitato di
controllo della privacy attraverso gli strumenti online, in quanto il "periodo di
grazia" annuale è terminato il 26 Maggio 2012. Ciononostante nessuno di
questi siti sembrerebbe essere stato oggetto di indagine.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
12
UK: Industry Reaction
 Silktide, azienda produttrice di software, ha contestato il
provvedimento dell'ILO in merito al sanzionamento dei propri
cookies.
 Silktide ha creato www.nocookielaw.com al fine mettere in evidenza
le regole "inefficaci" per il blocco dei siti che utilizzano "tracking"
cookies.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
13
Francia: Laizzez Faire?
 Il governo francese ha recepito la direttiva con un decreto legislativo pubblicato il 24 Agosto
2011 ("Ordonnance n. 2011-1012 du 24 août 2011 relative aux communications
électroniques"), che ha modificato l'articolo 32 II della Legge sulla Privacy francese del 6
Gennaio 1978.
 Il 26 Ottobre 2011 l'Autorità francese (CNIL) ha emanato delle linee guida per l'attuazione
della nuova legge (revisionata il 26 Aprile 2012), indicando che:
a)
b)
i browsers attuali non offrono impostazioni che consentano di conformarsi
adeguatamente ai requisiti di legge;
l'interessato deve essere informato circa lo scopo dei cookies (ad esempio
pubblicità) e successivamente dare il proprio consenso alla memorizzazione
del cookie nel proprio computer:
Esempio:
 Applicazione?
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
14
Spagna: nuovo approccio?
 Alternativa dell' "Europa del Sud"?
 No consenso implicito ma "Opt-in creativo"
(richiesta un'azione dell'interessato, ma "no click
based opt-in")
 Soluzioni pratiche? Provvedimento dell'Autorità
spagnola (aprile / marzo 2013)?
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
15
Italia: un nuovo Opt-in?
 Garante Privacy: "La direttiva e-Privacy è stata modificata nel 2009 da un'altra direttiva che ha
introdotto il principio dell'opt-in in tutti i casi in cui si accede o si registrano informazioni"
("già in precedenza vigeva la regola dell'opt-in ma soltanto per i cookie tecnici. Ogni altro accesso
era vietato. Regolamentazione demandata ad un codice di deontologia").
 Eccezione: "al solo fine di effettuare la trasmissione di una comunicazione su una rete di
comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della
società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale
servizio".
 L'Italia ha recepito la Direttiva 2009/136/CE con il Decreto Legislativo n. 69 del 28 Maggio 2012
(emendando il Decreto Legislativo n. 196 del 30 Giugno 2006 ("Codice della Privacy").
 Le nuove previsioni riflettono la Premessa 66 della Direttiva Cookie e l'articolo 5(3) della Direttiva
E-Privacy (così come modificata dalla Direttiva Cookie) e sollevano le stesse problematiche
interpretative, soprattutto in merito al consenso.
 L'unica differenza significativa consiste nella possibilità del Garante Privacy di determinare con
proprio provvedimento le modalità semplificate per fornire l'informativa agli utenti.
 Art. 122 comma 1: Ai fini della determinazione delle modalità semplificate per l'informativa di cui
all'art. 13, comma 3, "tiene conto anche delle proposte formulate dalle associazioni maggiormente
rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte"
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
16
Consultazione Pubblica
 22/11/2012 – Consultazione Pubblica (G.U. 19/12/12).
 "Idonee modalità per informare gli utenti con messaggi che siano al tempo stesso chiari e snelli. (..)
l'informativa deve indicare chiaramente quali sono le finalità perseguite mediante il ricorso ai cookies";
 "A titolo esemplificativo, la finalità consistente nel creare profili degli utenti al fine di inviare loro messaggi
pubblicitari mirati, non potrà essere indicata nell'informativa con il riferimento alla mera finalità pubblicitaria
dell'uso dei cookie, ma occorrerà specificare che gli stessi consentiranno al gestore del sito di realizzare
appunto una profilazione finalizzata alla successiva attività di direct marketing";
 "Ai fine dell'espressione del consenso dell'utente all'uso dei cookie, possono essere utilizzate
'specifiche configurazioni di programmi informativi o di dispositivi che siano di facile e chiara
utilizzabilità per il contraente o l'utente' ";
 "Nel caso in cui un sito consenta la trasmissione anche di cookie di "terze parti", l'informativa e
l'acquisizione del consenso sono di norma a carico del terzo. E' necessario che l'utente venga
adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui
accede al sito che consente la memorizzazione dei cookie terze parti, ovvero quando accede ai contenuti
forniti dalle terze parti";
 "Non è escluso che, anche sulla base di accordi con i siti terze parti, l'informativa fornita agli utenti del sito
'prima parte' contenga anche le informazioni sui cookie trasmessi automaticamente dalle terze parti" /
[acquisizione del] consenso dalla 'prima parte' ";
 Disciplina rapporti titolare / responsabile.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
17
La Proposta IAB/EASA – Come
funziona
L'iniziativa di autoregolamentazione IAB/EASA è nata nell'Aprile 2012 al
fine di introdurre degli standards europei per accrescere la trasparenza e il
controllo dell'utente nella pubblicità comportamentale online.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
18
La proposta IAB/EASA – Rispetta la
normativa comunitaria?
"Adherence to the EASA/IAB Code on online behavioral advertising and participation in the website
www.youronlinechoices.eu does not result in compliance with the current e-Privacy Directive. Moreover, the Code
and the website create the wrong presumption that it is possible to choose not be tracked while surfing the Web. This
wrong presumption can be damaging to users but also to the industry if they believe that by applying the Code they
meet the requirements of the Directive."
(Art. 29 Working Party, Parere 16/2011 relativo alla raccomandazione dell'EASA/IAB sulle buone prassi in
materia di pubblicità comportamentale online, Dicembre 2011)
"Self-regulation has also been developed more actively. This applies to initiatives by NAI in the US and by EASA and
IAB Europe on this side of the ocean. However, typically these initiatives are designed to facilitate an opt-out
model, and thus fit better with the previous model than with the current one. In a speech delivered in September
2010, the Commission's Vice-President Neelie Kroes, responsible for the EU Digital Agenda, has encouraged the
advertising community to develop a self-regulatory framework in compliance with the e-Privacy Directive. In a speech
delivered on 22 June 2011, she welcomed the recent adoption of a Best Practice Recommendation and
Framework on behavioral advertising by EASA and IAB Europe. However, these associations have in fact
failed to implement the new consent requirement. At the same time, she expressed support for a US driven ‘do-nottrack’ initiative that – although valuable – also seems to fall short of the e-Privacy Directive requirements.
Unfortunately, this also raises doubts on the position of the European Commission on this subject. […]. The
Commission should avoid any ambiguity as to its determination in making sure that these rights are delivered
in the European Union."
(Peter Hustinx, Supervisore Europeo sulla Protezione dei Dati personali - Conferenza, Università di
Edimburgo, School of Law Edinburgh, 7 Luglio 2011)
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
19
USA: Do Not Track
 Le attuali norme in materia di identificazione del consumatore online
consistono in principi di autoregolamentazione e raccomandazioni.
 Il Congresso ha proposto regole in materia di identificazione del
consumatore online, ma nessuna di questi è divenuta "Legge".
 La FTC (Federal Trade Commission) ha affrontato il tema della pubblicità
comportamentale e dell'identificazione del consumatore esclusivamente con
raccomandazioni.
 Nel 2010, l'FTC ha suggerito l'adozione di un sistema "do-not-track", un
meccanismo di opt-out semplice e di facile comprensione.
 Nel Febbraio 2011 il congresso ha iniziato le consultazioni in merito al "Do
Not Track Me Online Act of 2011", che richiede agli advertisers di consentire
agli utenti di poter scegliere efficacemente e semplicemente di non essere
identificati o registrati con fini pubblicitari.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
20
Do-not-track anche per l'Europa?
“DNT is the most practical method of providing uniform choice for online behavioral advertising would likely involve
placing a setting similar to a persistent cookie on a consumer’s browser and conveying that setting to sites that the
browser visits, to signal whether or not the consumer wants to be tracked or receive targeted advertisements. To be
effective, there must be an enforceable requirement that sites honor those choices”
(FTC, "Protecting consumer privacy in an era of rapid change", Dicembre 2010)
"The Article 29 WP welcomes recent initiatives by browser providers to develop privacy solutions such as Do Not
Track, which could pave the way for compliant consent mechanisms based on browser settings, on the condition that
such mechanisms truly enable users to express their consent on a case by case basis, without being tracked by
default."
(Art. 29 Working Party, Parere 16/2011 relativo alla raccomandazione dell'EASA/IAB sulle buone prassi in
materia di pubblicità comportamentale online, Dicembre 2011)
"The Working Party has been actively participating since December 22, 2011 in the work of the World Wide Web
Consortium (W3C) to standardize the technology and the meaning of Do Not Track. […] In order for the Do Not Track
standard to bring compliance to companies serving cookies to European citizens, Do Not Track must effectively
mean “Do Not Collect” without exceptions. Therefore where a user has expressed the preference to not be tracked
(DNT=1) no identifier, for the purpose of tracking, must be set or otherwise processed."
(Art. 29 Working Party, Parere 04/2012 sulle Eccezioni al Consenso nei Cookie Consent Exemption, Giugno
2012)
"I am convinced that DNT can become a very successful standard. […] So I look forward to news about a rich and
sound DNT standard that really makes it easy to comply with privacy laws"
(Neelie Kroes, Vice-Presidente della
Discorso/10/452 del 17 settembre 2010)
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Commissione
Europea
responsabile
dell'Agenda
Digitale
–
21
Alcune conclusioni
 La normativa comunitaria sui cookies sembra inidonea ad
affrontare le problematiche in materia di privacy senza
compromettere
le
funzionalità
e
i
benefici
di
Internet.
 Non vi è accordo sull'interpretazione e applicazione delle
normative privacy. Vi è incertezza giuridica con inevitabili
ricadute sull'industria pubblicitaria.
 L'approccio comunitario alla tutela della privacy online
evidenzia la difficoltà nel regolare pratiche identificative dei
comportamenti degli utenti sul Web.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
22
I Paradossi della Tutela basata sul
Consenso
Le severe norme fondate su libertà e diritto di
autodeterminazione dell'individuo possono
ripercuotersi negativamente sugli stessi
diritti che si vogliono salvaguardare?
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
23
Primo paradosso: Identificazione
 Disparità. Diversi (i più forti) operatori internet, a causa della
diminuzione delle entrate pubblicitarie, autorizzeranno
l'accesso ai loro siti esclusivamente agli utenti registrati e,
mediante appositi strumenti contrattuali, consentiranno
l'accesso a condizione dell'accettazione dei cookies e a fronte
di un più invasivo "behavioral advertising". E gli editori più
deboli?
 Tutti registrati! La registrazione degli utenti porterà a una
piena
identificazione
dell'utente
stesso
e,
conseguentemente, alla possibilità di creare profili altamente
dettagliati (gli operatori non si baserebbero su dati
probabilistici, ma su informazioni oggettive su persone reali).
 Modelli di pagamento. Altri operatori decideranno al
contrario di modificare completamente il proprio modello di
business: chiederanno agli utenti il pagamento di servizi già
offerti a titolo gratuito, compensando (ove possibile) le norme
pubblicitarie.
 Il risultato potrebbe essere la sostituzione dell'offerta di servizi
gratuiti con un profilo generico con l'offerta degli stessi
servizi a titolo oneroso e con un profilo più dettagliato.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
24
Secondo paradosso:
Incentivazione Avversa
 L'introduzione di un sistema di opt-in
compromettere il modello di business che è
base del successo di internet. Favorirebbe
stabiliti al di fuori della UE meno rigorosi in
tutela della privacy.
potrebbe
stato alla
operatori
materia di
 Anche se le normative comunitarie sono applicabili agli
operatori extracomunitari, l'esperienza ha dimostrato che
le possibilità di agire nei confronti di tali operatori è
limitata.
 L'assimmetria normativa esistente tra UE e gli altri Stati,
potrebbe portare ad una importante migrazione
dell'industria pubblicitaria europea al di fuori della UE.
 Il risultato potrebbe essere quello di un incremento nel
trasferimento dei dati personali di cittadini comunitari a
paesi che non offrono un sistema adeguato di protezione
dei dati e, allo stesso tempo, un serio danno alla eeconomy, che nella crisi economica attuale ha dimostrato
un trend positivo.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
25
Terzo paradosso: Libertà
inconsapevole (1)
 Entrambi i sistemi di opt-in e opt-out, lasciano l'utente
libero di scegliere se, e in che misura, acconsentire
all'installazione di cookies nei loro computer, e al
conseguente trattamento dei loro dati personali. Una
valutazione più attenta mostra come si tratti di una falsa
libertà.
 La legislazione EU regola gli spyware (e altri software
dannosi) e i cookies (utili per il behavioural advertising o
valutativi delle performance dei trading sites – i cosiddetti
cookies analitici) esattamente nello stesso modo. Il
consenso è sufficiente ad installare qualsiasi cosa.
 Qualsiasi sistema di protezione basato sul consenso
potrebbe pertanto essere molto rischioso – non vi è limite
a quello che gli utenti possono ritenere legittimo fornendo
il proprio consenso.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
 L'utente "medio", generalmente, non legge le "privacy
policies" presenti sui siti (e, se lo fa, è improbabile che ne
abbia comprenso a pieno il senso). Vi è inoltre la diffusa
abitudine di accettare passivamente qualsiasi documento
al fine di fruire del contenuto desiderato il più in fretta
possibile.
26
Terzo paradosso: Libertà
inconsapevole (2)
Ti sentiresti rassicurato se
venisse sempre chiesto il
tuo consenso per inserire
ciascun ingrediente in un
prodotto?
Lasciare agli utenti la facoltà di definire il limite di ciò che è
socialmente accettabile, in assenza di un livello di
consapevolezza adeguato, può produrre risultati tutt'altro
che desiderabili in termini di tutela della privacy.
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
27
Un'idea
 I legislatori europei dovrebbero assumersi la responsabilità e stabilire se e quanto gli advertising cookies
possono essere utilizzati al fine di creare profili degli utenti. E' una questione di evitare, a monte, i rischi
alla privacy dell'interessato, ma anche permettere, all'industria pubblicitaria di sopravvivere e di
continuare con la propria importante funzione di supporto degli editori online e della e-economy.
 La normativa comunitaria dovrebbe introdurre la categoria degli "advertising tracking tool" (ATT)
e stabilire qual'è il massimo livello consentito per la profilazione, specificando il periodo massimo di
conservazione dei dati, indicando il tipo di informazioni che possono essere raccolte, proibendo il
trattamento dei dati meritevoli di essere salvaguardati, imponendo l'adozione di specifiche misure di
sicurezza e, se necessario, di tecniche di amministrazione già presenti sul mercato.
 Alle aziende dovrebbe, inoltre, essere richiesto di garantire un diritto di opt-out al fine di proteggere gli
utenti che ritengono che tale trattamento sia una violazione della propria privacy. I tracking tool non
conformi utilizzati per fini pubblicitari dovrebbero richiedere un sistema di previo opt-in per il consumatore.
Qualsiasi altro tracking tool (non utilizzato per fini pubblicitari) dovrebbe essere proibito, a meno che non
sia necessario fornire un servizio a seguito di un contratto nel quale l'utente è parte.
Type of tool
Consent regime
EU Law standard ATT
Opt-Out
Non standard ATT
Opt-In
Other tracking tools
Prohibited, unless necessary to
provide a service pursuant to an
agreement to which the user is a
party
Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
28
GRAZIE!